Mellékleteink: HUP | Gamekapocs
Keres

A fékpedált is a támadónak adta át egy Tesla-sebezhetőség

Hlács Ferenc, 2016. szeptember 21. 13:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Részlegesen átvehették a kontrollt támadók a Tesla Model S járművei felett: az autókban nemrég felfedezett biztonsági rést kihasználva akár fékezésre is bírhatták azokat. Az autógyártó már javította a hibát.

Kritikus sebezhetőséget találtak a Tesla járműveiben, amelyet kihasználva támadók részlegesen átvehették az uralmat az autók felett - ez az első olyan sebezhetőség a gyártó autóin, amelynek kihasználásához nincs szükség fizikai hozzáférésre a kiszemelt járműhöz. A biztonsági hibát a kínai Tencent internetszolgáltató alá tartozó Keen Security Lab szakértői fedezték fel, akik azt kihasználva mind parkolóüzemmódban, mind vezetés közben vezérelni tudták az autó egyes funkcióit.

A kínaiak már a Tesládban vannak

A sérülékenység lehetővé tette többek között az ajtók, a csomagtartó vagy a tetőablak kinyitását, az ülések átállítását vagy az ablaktörlő bekapcsolását, de a potenciális támadók az autó belső kijelzői fölött is átvehették az irányítást, a CAN-bushoz (Controller Area Network) szerzett hozzáféréssel - sőt akár távolról a fékre is "ráléphettek" menet közben. A szakértők a támadáshoz egy az autó saját böngészőjében talált biztonsági rést használtak ki, közbeékelődéses (man-in-the-middle) támadással, mikor a jármű egy rosszindulatú Wi-Fi hotspotra csatlakozott. A Keen Security Lab a támadás pontos menetét nem hozta nyilvánosságra.

A sebezhetőséget a biztonsági szakértők privát úton jelezték a Tesla felé, annak jelenlétét ezt követően a gyártó saját biztonsági csapata is megerősítette. A kínai kutatók szerint egyébként az autógyártó szakemberei gyorsan reagáltak a jelentésre, a vállalat nagyjából tíz nap alatt befoltozta a biztonsági rést, a javítást pedig egy OTA frissítés formájában már kiküldte az érintett Model S-ekre. Ahhoz persze még kellhet némi idő, míg minden járműre eljut a javított firmware, a v7.1, 2.36.31-es verzió megérkezéséig tehát érdemes elkerülni a gyanús Wi-Fi hotspotokat.

Böngészőtől a fékpedálig? Tényleg?

A hiba rávilágít arra a problémára is, hogy az autók informatikai architektúrája nem tartalmaz érdemi izolációt a böngésző és az autó fizikai vezérlése között, így a böngészőtől néhány ugrással az irányításig juthattak a támadók. Ez roppant súlyos tervezési probléma lehet, azt mutatja ugyanis, hogy átjárható informatikai alrendszer felel a webes tartalom megjelenítéséért és az autó irányításáért.

A Tesla szerint egyébként, miután a sebezhetőség sikeres kihasználásához az autóknak fizikailag közel kell lenniük a rosszindulatú Wi-Fi hotspothoz, továbbá azok rendszerén a böngészőnek is futnia kell, "nagyon alacsony" volt az ügyfeleit fenyegető biztonsági kockázat. Noha a fenti körülmények kiterjedt, sok Tesla-tulajdonost érintő offenzívát valóban nem tesznek lehetővé, célzott támadásra egy hasonló sérülékenység továbbra is alkalmas lehet. A Tesla egyébként sok más tech-céghez hasonlóan működtet bug bounty programot, amelyben tekintélyes jutalmat oszt a biztonsági rések felfedezőinek.

Az egyre okosabb autók szoftveres biztonsága manapság kiemelten fontos terület, amelyre az elmúlt egy-két kév tapasztalatai alapján az iparág több esetben nem fordít megfelelő figyelmet: az elmúlt hónapokban a Mitsubishi és a Nissan autóin is bukkantak fel sebezhetőségek, tavaly pedig a BMW futott hasonló fiaskóba - de a leglátványosabb talán a Jeep ugyancsak tavalyi biztonsági hibája volt, amellyel a támadók teljes kontrollt szerezhettek a járművek felett.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.